昨今のサイバー攻撃は、特定の企業や業種に限らず、あらゆる組織にとって深刻な脅威となっています。ランサムウェアやサプライチェーン攻撃、ゼロデイ脆弱性の悪用など、攻撃は巧妙化・高度化し、被害規模も拡大し続けています。
さらに、クラウド利用の拡大、テレワークやBYODの普及、各種手続きのオンライン化、スマートフォン向けサービスやAIの急増などにより、「ITサービスの利用者数と接点が飛躍的に増え、攻撃対象となる領域(アタックサーフェス)」が拡大しています。
こうした状況では、「侵入されないこと」を前提とした従来型の境界防御では不十分です。「侵入は100%止められない」を前提に、「被害を最小化し、迅速に事業を回復・継続させる力」=サイバーレジリエンスを備えることが重要です。
本記事では、米国国立標準技術研究所(NIST)が策定した SP 800-160 Vol.2 を基に、サイバーレジリエンスの理論構造(目的・目標・技術・アプローチ)を整理し、それを実務に落とし込む際に有効な 「三本柱(技術・組織・人材)」の取り組み、さらにNRIセキュアが提供する関連サービスについてご紹介します。
サイバーレジリエンスとは
NIST SP 800-160 Vol.2では、サイバーレジリエンスを次のように定義しています。「サイバー資源を有するシステムが、リスク要因を予測し、攻撃や侵害状態でも耐えて回復・適応できる能力」
つまり、セキュリティ対策の目的を「侵入を防ぐこと」だけに限定せず、攻撃を受けても事業の完全性・継続性を維持できる状態を構築することを指します。これは技術的な防御にとどまらず、組織的かつ継続的なリスクマネジメントの枠組みを含む、より広い概念です。
4つの目的(Goals)
NISTではまず、サイバーレジリエンスを次の4つの目的(Goal)に整理しています。これらは単なる理論上の分類ではなく、組織がサイバー攻撃を受けた際にどのような力を発揮すべきかを示す基本的な方向性を表しています。
|
目的(Goal) |
説明 |
|
予測力(Anticipate) |
将来のサイバー攻撃を未然に防ぐため、リソースから情報を収集し、異常検知時に即座に対応できる状態を維持する。 |
|
抵抗力(Withstand) |
攻撃を受けても、その影響下でミッション・ビジネス機能を維持し、遂行する能力。 |
|
回復力(Recover) |
攻撃によりミッション・ビジネス機能が停止・縮退した場合、可能な限り迅速に定常状態まで回復させる。 |
|
適応力(Adapt) |
現在や将来の脅威に備え、ミッションやビジネス機能、およびそれを支える仕組みを柔軟に変更する。 |
それぞれ独立した力であると同時に、相互に補完し合う関係にあります。予測から始まり、抵抗し、被害があれば回復し、その経験を次の適応につなげます。
8つの達成目標(Objectives)
さらに、これら4つの目的を実現するために、達成すべき8つの目標(Objectives)が定義されており、目標に沿って具体的な対策指針が定義されています。
|
目標(Objective) |
説明 |
|
予防/回避 (Prevent or Avoid) |
攻撃や被害事態そのものが起きないように、事前に回避・防止する。 |
|
準備(Prepare) |
サイバーレジリエンスの能力を計画し、確立し、運用するための体制を整える |
|
継続(Continue) |
不測の事態発生時に重要機能を継続させる |
|
抑制(Constrain) |
攻撃による被害影響を最小化する |
|
再構成(Reconstitute) |
攻撃による被害後にリソースと機能を迅速に復旧する |
|
理解(Understand) |
ミッションとビジネス機能、技術の依存関係の状況を可視化する |
|
変容(Transform) |
攻撃や環境変化に迅速に対応できるよう機能を変化させる |
|
再設計(Re-Architect) |
環境変化に効果的に対応できるようアーキテクチャを更新する |
14の実現のための技術(Techniques)
サイバーレジリエンスの目的と活動目標を達成するための具体的な「技術」についても言及しています。これらの技術は、システムや組織の特性に合わせて選択・適用されるべきものであり、多岐にわたります。主要な技術には以下のようなものがあります。
|
技術(Technique) |
説明 |
|
適応型対応(Adaptive Response) |
状況に応じて俊敏に対応する |
|
分析監視(Analytic Monitoring) |
ログや行動を継続的に監視する |
|
文脈認識(Contextual Awareness) |
脅威と業務環境を関連付けて把握する |
|
協調保護(Coordinated Protection) |
複数の防御手段を連携させる |
|
欺瞞(Deception) |
攻撃者を惑わせ、行動を遅らせる |
|
多様性(Diversity) |
異なる仕組みを導入し、共通脆弱性を避ける |
|
動的配置(Dynamic Positioning) |
リソースを状況に応じて再配置する |
|
非永続性(Non-Persistence) |
必要な時だけリソースを保持する |
|
特権制限(Privilege Restriction) |
最小権限を徹底する |
|
再配置(Realignment) |
ミッションや事業優先度に合わせて再構成する |
|
冗長性(Redundancy) |
予備リソースで継続性を確保する |
|
セグメンテーション(Segmentation) |
ネットワークや機能を分割し影響を封じ込める |
|
完全性の実証(Substantiated Integrity) |
改ざんされていないことを検証する |
|
予測不能性(Unpredictability) |
防御にランダム性を導入する |
実施アプローチ(Approaches)
サイバーレジリエンスの14の技術(Techniques)は、それぞれが単独で役立つ防御策ではありますが、実際の運用環境に適用する際には「どのように組み合わせ、どう展開するか」という視点が欠かせません。NISTでは、この「技術を現場に活かす方法論」としてさらに、実施アプローチ(Approaches) を定義しています。
|
技術(Technique) |
アプローチ(Approach) |
定義 |
|
適応型対応 (Adaptive Response) |
ダイナミックな再構成(Dynamic Reconfiguration) |
サービスを中断せずにシステムやリソースの構成を変更し、機能や動作を変える。 |
|
動的リソース割り当て(Dynamic Resource Allocation) |
重要な機能を止めずに、リソースの配分を変更する。 |
|
|
適応型管理(Adaptive Management) |
運用環境や脅威環境に応じて、メカニズムの利用方法を変える。 |
|
|
分析監視 (Analytic Monitoring) |
モニタリングと損害評価(Monitoring and Damage Assessment) |
リソースの状態を監視し、脅威や障害による損害を評価する。 |
|
センサー融合と分析(Sensor Fusion and Analysis) |
異なるソースからの監視データを統合し分析する。 |
|
|
フォレンジック・行動分析(Forensic and Behavioral Analysis) |
攻撃者の活動・TTP・アーティファクトを調査し、理解・帰属する。 |
|
|
文脈認識 (Contextual Awareness) |
動的リソース認識(Dynamic Resource Awareness) |
リソースやその状態、接続性に関する情報を動的に把握する。 |
|
動的脅威認識(Dynamic Threat Awareness) |
脅威アクターや潜在的な脅威イベントに関する情報を維持する。 |
|
|
ミッション依存関係とステータス可視化(Mission Dependencies and Status Visualization) |
ミッションの依存関係や資産の状態を可視化し、状況認識を強化する。 |
|
|
協調保護 (Coordinated Protection) |
調整された多層防御(Coordinated Defense-in-Depth) |
リソースの重要性に応じて層状の防御を適用し、単一障害点を避ける。 |
|
一貫性分析(Consistency Analysis) |
保護措置を一貫して適用できるか分析し、干渉や欠落を防ぐ。 |
|
|
オーケストレーション(Orchestration) |
異なる層やシステムにおける防御機能を調整・統合する。 |
|
|
セルフチャレンジ(Self-Challenge) |
ペネトレーションテストや演習で防御の有効性を検証する。 |
|
|
欺瞞 (Deception) |
オブリュケーション(Obfuscation) |
敵対者から情報や資産の特性を隠蔽する。 |
|
ディスインフォメーション(Disinformation) |
敵対者に虚偽情報を提供し、誤解を誘発する。 |
|
|
ミスディレクション(Misdirection) |
敵対者の活動を欺瞞環境へ誘導する。 |
|
|
テインティング(Tainting) |
敵対者が利用する資産に意図的に囮情報を仕込み、追跡や阻害を行う。 |
|
|
多様性 (Diversity) |
アーキテクチャ多様性(Architectural Diversity) |
複数の技術基準や異なるアーキテクチャを導入する。 |
|
設計の多様性(Design Diversity) |
同じ要件を満たすため異なる設計を採用する。 |
|
|
合成多様性(Synthetic Diversity) |
ソフトウェア実装を多様化し、異なるバージョンを生成する。 |
|
|
情報多様性(Information Diversity) |
異なるソースや変換手法で情報を供給する。 |
|
|
パス多様性(Path Diversity) |
複数の独立した通信経路を提供する。 |
|
|
サプライチェーン多様性(Supply Chain Diversity) |
複数のサプライヤーから調達し、依存を分散する。 |
|
|
動的配置 (Dynamic Positioning) |
センサー機能再配置(Sensor Repositioning) |
センサーの位置や役割を変更し、異常検知の精度を高める。 |
|
サイバーリソース再配置(Cyber Resource Repositioning) |
サイバーリソースの機能や場所を動的に変更する。 |
|
|
資産の移動性(Asset Mobility) |
物理資産を安全に移動し、特定の場所への依存を避ける。 |
|
|
フラグメンテーション(Fragmentation) |
情報を分割し、複数のコンポーネントに分散保存する。 |
|
|
分散機能(Distributed Functionality) |
機能を小さな単位に分解し、複数コンポーネントに分散させる。 |
|
|
非永続性 (Non-Persistence) |
非永続的情報(Non-Persistent Information) |
情報を必要な時だけ生成・保持し、不要時に削除する。 |
|
非永続的サービス(Non-Persistent Services) |
サービスを必要に応じて生成・終了させ、長時間実行を避ける。 |
|
|
非永続的接続(Non-Persistent Connections) |
通信接続を必要時だけ確立し、不要時に終了する。 |
|
|
特権制限 (Privilege Restriction) |
信頼ベースの特権管理(Trust-based Privilege Management) |
属性や信頼に基づいて特権を付与・管理する。 |
|
属性に基づく使用制限(Attribute-based Usage Restriction) |
データ機密性や業務重要性に基づき使用を制限する。 |
|
|
動的権限(Dynamic Privileges) |
文脈や状態に応じて一時的に権限を昇格・降格させる。 |
|
|
再配置 (Realignment) |
目的の明確化(Purposing) |
リソースの用途を承認された目的に限定する。 |
|
オフローディング(Offloading) |
必須でない機能を外部へ委託する。 |
|
|
制限(Restriction) |
不要な機能や接続を削除・無効化する。 |
|
|
置換(Replacement) |
信頼できないコンポーネントを信頼できるものに置き換える。 |
|
|
専門化(Specialization) |
特定の用途に合わせてリソースを専用化する。 |
|
|
進化可能性(Evolvability) |
将来的な拡張や変更を容易にする。 |
|
|
冗長性 (Redundancy) |
保護されたバックアップと復元(Protected Backup and Restore) |
安全なバックアップを保持し、侵害されても復元可能にする。 |
|
余剰容量(Spare Capacity) |
余剰リソースを確保して急増に備える。 |
|
|
レプリケーション(Replication) |
データや機能を複数の場所に複製し同期する。 |
|
|
セグメンテーション (Segmentation) |
事前定義セグメンテーション(Predefined Segmentation) |
信頼性や重要性に応じて区画を定義し、分離する。 |
|
動的セグメンテーションと隔離(Dynamic Segmentation and Isolation) |
状況に応じてリソースを動的に分離し、被害拡大を防ぐ。 |
|
|
完全性の実証 (Substantiated Integrity) |
完全性チェック(Integrity Checks) |
データやソフトの改ざんを検証する。 |
|
プロバナンス追跡(Provenance Tracking) |
コンポーネントやデータの起源を追跡・検証する。 |
|
|
行動検証(Behavioral Verification) |
ユーザーやシステムの行動を基準に照らして検証する。 |
|
|
予測不能性 (Unpredictability) |
時間的不確実性(Temporal Unpredictability) |
動作や状態をランダムなタイミングで変更する。 |
|
文脈依存の不確実性(Contextual Unpredictability) |
状況に応じて行動や状態をランダム化する。 |
<参考:NIST SP800-160 v2 Rev1 付録D‐4を翻訳>
アプローチは、技術を「点」として捉えるのではなく、組み合わせて「線」や「面」として活用するための考えです。つまり、技術(Techniques)が「何をするか」を示すのに対し、アプローチ(Approaches)は「どう実現するか」を示すものです。この両者を対応づけることで、組織は自社の環境やリスクに応じた最適なレジリエンス強化策を設計できます。
サイバーレジリエンスを支える「三本柱」
こうした「目的 → 目標 → 技術 → アプローチ」という階層構造を理解すると、サイバーレジリエンスの強化は単なるセキュリティ製品の導入や規程の策定では終わらないことが分かります。重要なのは、「理論をどのように現場の仕組みに落とし込み、組織全体で持続的に運用できるようにするか」です。
この観点から整理すると、NISTの理論を実務に結び付ける際に必要な取り組みは大きく 「技術」「組織」「人材」 の三つの柱に集約されます。つまり、サイバーレジリエンスを高めるには、最新の技術基盤を整備するだけでなく、それを統括・運用する組織体制、そして日々判断と行動を担う人材の育成が欠かせません。
次に、この三本柱ごとに、NRIセキュアが提供するサービス例を見ていきます。
技術的対策
セキュリティ技術を導入し、侵入や異常を早期に検知・抑止し、被害や業務への影響を最小化します。
|
内容 |
サービス |
対応する主な目標(Objective) |
|
24/365のログ監視、相関分析、脅威インテリジェンスの活用。 |
セキュリティログ監視サービス(共用SOC) |
理解(Understand) 準備(Prepare) 抑制(Constrain) |
|
端末やNW、認証のリアルタイム検知、隔離、封じ込め、復旧支援。 |
マネージドEDR/XDR/ITDR |
予防/回避(Prevent or Avoid) 抑制(Constrain) 再構成(Reconstitute) |
|
システムやインフラの弱点を洗い出し、攻撃経路を事前に把握。 |
脆弱性診断・ペネトレーションテスト |
予防/回避(Prevent or Avoid) 理解(Understand) |
|
特権IDの制限・マイクロセグメンテーションで被害拡大を封じ込める。 |
ID管理・アクセス制御・マイクロセグメンテーション |
抑制(Constrain) 継続(Continue) |
|
クラウド環境の設定不備を防止し、継続的な監視でリスクを低減。 |
クラウドセキュリティ監査・CWPP/CSPM導入 |
予防/回避(Prevent or Avoid) 理解(Understand) |
|
クラウド経由で一貫したNW保護を提供し、業務継続・被害抑制・環境変化への適応を実現。 |
Secure Service Edge |
継続(Continue) 抑制(Constrain) |
組織的対策
体制とルールやプロセスを整え、全社的に統一された危機対応を可能にします。
|
内容 |
サービス |
対応する主な目標(Objective) |
|
平時/有事の全社横断CSIRT体制を整備。現状把握、役割、体制の設計からルール、フロー策定まで包括的に支援。 |
組織内CSIRT総合支援 |
準備(Prepare) 変容(Transform) |
|
机上演習、技術演習から経営層参加型まで段階的にインシデント対応の訓練を支援。 |
セキュリティ訓練 |
準備(Prepare) 再構成(Reconstitute) |
|
組織のサイバーレジリエンス能力向上のため、対象業務の可視化・選定・プロセス立案までを包括的かつ実効的に支援。 |
サイバーレジリエンス能力向上サービス |
理解(Understand) 変容(Transform) 再設計(Re-Architect) |
|
攻撃者視点での侵入シナリオを実行し、組織の検知・対応力を検証。 |
ペネトレーションテストサービス/レッドチームオペレーション |
予防/回避(Prevent or Avoid) 抑制(Constrain) 再構成(Reconstitute) |
人的対策
最終的に動くのは人であり、人材の理解・判断・行動がサイバーレジリエンスを左右します。
|
内容 |
サービス |
対応する主な目標(Objective) |
|
情報セキュリティを技術面・マネジメント面から支える人材の育成を幅広く支援。資格取得支援、スキルマップ作成。 |
セキュリティ教育・研修 |
理解(Understand) 準備(Prepare) |
|
実際のメール攻撃を模した訓練で従業員の意識を醸成。開封時の報告・対処方法も啓発。 |
標的型メール訓練 |
予防/回避 (Prevent or Avoid) 準備(Prepare) 抑制(Constrain) |
|
経営判断に必要なリスク理解を提供。 |
経営層向け訓練/トレーニング |
理解(Understand) 準備(Prepare) |
効果的にサイバーレジリエンスを高めるために
最初の一歩は「現状の可視化」
サイバーレジリエンスの取り組みは、まず 自社のセキュリティ態勢を正しく把握し、見直しすることから始まります。リスクアセスメントやペネトレーションテスト、既存対策の棚卸しを通じて「どの情報資産が重要で、どこが弱いのか」を明確にすることが出発点です。この現状把握なしに、目指すべき強化策や優先順位を正しく設計することはできません。弊社では、その第一歩となる可視化・評価のフェーズから支援も可能です。
防御一辺倒から「回復力・適応力」へ
従来のセキュリティは「侵入を防ぐ」ことに軸足を置いていましたが、現在は「侵入を前提として被害を最小化する」こともより重要になっています。特に近年は、いかに早く検知・封じ込め・復旧するか、さらにその経験を次の強化につなげられるかが組織の事業継続を左右します。単なるセキュリティ製品の導入ではなく、組織対応や人材育成も含めた業務継続性と回復力を高める観点での設計、IT運用も必要となります。
セキュリティフレームワーク活用と実装支援
実際の現場では「何から手を付ければよいのか分からない」という声が多いのも事実です。そこで有効なのが、NIST CSF 2.0 や MITRE ATT&CKなどのフレームワークを活用した優先度付けです。筆者の現場経験では、これらを土台にしてリスクベースで施策やロードマップを整理し、実効性ある改善計画に落とし込むことが良いです。
さいごに
現代の企業を取り巻くIT環境は、かつてないほど急速に変化しています。こうした不確実性の中では、事業の競争力強化やビジネス価値の創出と共に、突発的なセキュリティインシデントを乗り越えて企業の事業継続性を確保する「レジリエンス」が欠かせません。重大なインシデントは売上や株価だけでなく、顧客信頼や取引先との関係にも直結します。サイバーセキュリティはIT部門に任せきりではなく、取締役会や経営会議などで継続して議論されるべきテーマとなります。経営者はリスクオーナーとして説明責任を果たすと同時に、平時からCSIRTやBCPの体制にも関与し、インシデント発生時に迅速な意思決定を下せる準備を整えることが求められます。
参考:
サイバーセキュリティ経営ガイドライン Ver3.0|6年ぶりの改訂、どこが変わった
NISTが示す「目的 → 目標 → 技術 → アプローチ」という理論構造は、抽象的な理念ではなく、現場に落とし込むための具体的なガイドラインです。これを実際の企業活動に適用するためには、技術的対策・組織的対策・人的対策の三本柱をバランスよく整えることが不可欠です。
弊社では、サイバーレジリエンスを包括的に支援するサービスを提供しており、NISTが定義する「予測・抵抗・回復・適応」の力を現場に根付かせるお手伝いをしています。
